“零信任”大势下，谈谈云权限管理（CPM）基础知识

在新冠肺炎疫情推动的数字转型的推动下，云技术继续在世界各地迅速普及。然而，随着应用程序基础设施向云端转移，保护云端环境下企业资产安全的需求日益增加。虽然在运行期间保护工作负载和数据是这一过程的重要组成部分，但是，人们对预防性方法越来越感兴趣。这种方法采用了先验的云安全立场，甚至可以在攻击之前缩小受到攻击的范围。

现在，人们将这种态度背后的理念称为“零信任”。总而言之，是要“尽量将访问要求减少到绝对水平，永远不信任任何人或任何事，并不断验证已授权的内容，确认其不会偏离正常行为。” 云安全采用零信任技术的一个例子是云权限管理（CPM），即将发布的Omdia报告便是以此为主题的，在这份报告中，我们将调查这个行业的竞争格局。

云权限管理是一种采取了比较预防性立场的网络安全技术，它补充了（而不是替代了）检测并响应攻击的被动立场。因此，应该与后者一起考虑采用。本报告解释了云权限管理的用途，工作机制，为即将到来的云权限管理市场雷达铺平了道路。

云端扩大了受到攻击的范围

毫无疑问，无论对于企业还是非商业实体，云端是大多数应用基础设施的发展方向。部分应用程序可能会继续驻留在一家组织的自有场所内，尤其是在这家组织非常注重安全的情况下；但是，由于惯性，其它应用可能需要更长的时间才能进入云端。尽管如此，云端显然是应用程序的发展方向，也许描述这种情况的最准确方式是，未来是云端的天下，而在可预见的未来，会混合使用。

在任何情况下，显而易见的事实是，在采用云端的过程中，各家组织的受攻击范围常常也扩大了。这些年来，他们可能曾经斥巨资保护内部资产，为此部署了防火墙和终端安全等产品。但是，实际上，云安全是不同的，其中很难关联这些传统的基础设施安全产品。要解决这个问题，需要新的方法，尤其是因为出现了全新的云原生攻击途径，需要不同类型的技术来应对。

云工作负载保护平台属于反应式的运行时保护

所谓的云工作负载保护平台（CWPP）技术包含云安全中的反应方法，即“检测和响应”方法。这类产品经常在云端虚拟机（VM）、主机虚拟机或容器环境中的附接盒上布置代理。他们通过那里，观察进出工作负载的流量，试图检测任何可能表明正在攻击的异常行为。然后，他们将向安全团队标记该活动，甚至采取自动补救措施，例如，阻止违规流量和/或隔离受影响的工作负载。

这类技术当然至关重要，因为几乎肯定会对云端资产发起攻击，因此，要在这类环境终运行，就必须要检测并阻止它们。但是，随着威胁范围不断扩大，仍然难以找到并留住熟练的网络安全人员，人们对比较主动的方法越来越感兴趣，这种方法旨在在任何攻击发生之前缩小组织受到攻击的范围。

云安全态势管理恢复出厂设置

这种比较主动的安全类型的一个例子是云安全态势管理（CSPM）。这是一种在资产投入生产后，检查资产，检测合规或安全漂移迹象的技术。

换句话说，它会查看云端工作负载或数据存储运行方式是否改变，是否添加或删除了功能，结果是否违反了特定规范（例如 HIPAA、SOX 或 PCI），或者是否因此带来了新的安全风险。然后，它会提醒合规或安全团队进行补救，或者干脆采取补救措施，有效地恢复这项资产的“出厂设置”，将资产恢复到启动时的预期工作状态。

20世纪10年代中期，随着云计算基础设施和平台即服务（IaaS 和 PaaS）交付模式的普及，云安全态势管理技术应运而生。两者都对使用这项服务的企业提出了更高的要求，而且，由于涉及应用程序开发，也存在安全风险。云安全态势管理是一种积极主动的方法，至少可以解决部分风险。

零信任

这是一种比较积极主动的安全方法，不仅将设置恢复到产品首次投入生产时的状态，而且，现在还被很多人称为“零信任”，形成了一股趋势。

这种安全方式与“城堡和护城河”方法相反，“城堡和护城河”方法认为“城堡”围墙内的所有人（即公司防火墙后面的保护区内的所有人）都是可信的，外面的所有人都是不可信的，在进入时，会检查身份，随后就会加以信任。当所有员工和公司资产都位于在同一家公司场所内时，这种模式运行得相当好，但由于远程工作和云计算等趋势，这种模式日渐失去作用。

永不信任、始终验证、持续监控

零信任是一种心态，或者，如果你愿意的话，也是一种安全方面的哲学立场，可以总结为“永不信任，始终验证”——现在，对于这一点，Omdia增加了第三个维度，即“……持续监控”。

如果在这种情况下授权，则访问权限仅限于完成给定任务所必需的内容。此外，虽然为了启用身份验证和授权，在进入组织的基础设施时会检查身份，但是，在整个工作段过程中，还会监控用户的行为，以检测其身份的任何异常情况，例如，在访问数据库的中途突然发送大量电子邮件，或在授权访问后寻求提升权限。

工作段也可以设置时间限制，除了专门授予访问权限的请求，任何对资产的访问请求都需要经过重新身份验证和授权，但该组织为了方便经常使用的用户，选择将两个或三个应用程序组合在一起的情况除外。但是，永远不会授权无限期全面访问整个企业基础设施。

零信任在各种类型的技术中都有体现。在远程访问领域，零信任访问（ZTA）技术得到了推广，成为了虚拟专用网络（VPN）的更为安全的替代方案。与此同时，在处理系统管理员、C级管理人员和开发人员访问权限的特权访问管理（PAM）平台中，强制执行所谓的“最低特权”概念也属于这种方法。

对云端的零信任

在云环境中，零信任的一个早期例子是微分段技术，微分段技术可以隔离工作负载，并对人类和非人类身份实施严格访问政策。云权限管理是一项最新发展成果，是云计算实现零信任的另一种方式。

保护云环境的问题之一是所谓的蔓生问题。从本质上讲，这个问题的原因在于新的云实例（无论是工作负载还是数据存储）可以轻易加快读写速度。一旦服务器虚拟化开始，就会在内部发现问题：而在实际中，应用程序或数据库的新实例需要配置硬件；在虚拟世界中，只需点击一次鼠标，就可以在由云服务提供商（CSP）分配底层硬件的情况下，加快它们的读写速度。

打个比方，由于易于部署新实例，开发人员可以出于测试和开发目的，抛出一个新实例，系统管理员也可以在执行数据复制时，在生产中创建一个卷影拷贝。

类似地，云端经常会造成权限蔓生的问题。比如，在CI/CD管道中开发新应用时，开发者可以获得访问权，但是，一旦应用程序投入生产，就不会再撤销访问权。甚至，即使可能不需要访问特定资产，各个身份也可以通过加入特定的组获得新的权限。当然，IT运行未必要跟踪环境中每个非人类身份附带的所有权限。

云权限管理

云权限管理解决了权限蔓生问题

云权限管理就是为了解决这种情况而生的。它的目标是调整公司的权限资产；使其能够减少（甚至撤销）认为过度或根本不必要的权限，并在该过程完成后，以持续监控环境，以检测任何再次蔓生迹象。

首先，云权限管理要彻底清点一家组织云资产中现存的权限。换句话说，它会发现组织内每个身份授予的所有访问权限（又称权利）。其中包括所有人类（员工、承包商和合作伙伴），以及非人类、机器身份（系统、工作负载、服务帐户，和越来越多的物联网节点）。

一旦完成该过程，云权限管理平台就会根据各种身份，分析列出的所有权限，以确定哪些权限过多（例如，拥有只读权限便足够时，有人拥有读写权限）或仅仅是超出了要求（例如，如果有人在过去八个月内未访问给定资产）。然后，它就如何限制权限资产提出建议，限制或完全取消个人访问权。部分云权限管理平台还可以更进一步，如果客户愿意启用该功能，就可以自动执行它们推荐的补救措施。

图1：云权限管理

Source: Omdia

云权限管理的名称很多

本着全面披露的精神，本文应该提及云权限管理有很多不同的名称，撰写相关内容的分析公司不同，名称也不同。一家公司称它为云基础设施权利管理（CIEM），出于各种原因，Omdia不喜欢这个名称：

• 它的全称过于冗长。
• 首字母缩略词与网络安全的另一个主要术语，即安全信息和事件管理（SIEM）非常接近，令人混淆。
• 由于SIEM通常发音为“西姆”，也就出现了CIEM如何发音的问题。Omdia听过有人读作“凯姆”，这种读法不符合直觉，因为在盖尔语中，“c”位于“i”或“e”之前时，经常读作“k”，但这在英语中并不常见。

另一家分析机构称之为云权限管理技术云端身份管理（CIG），Omdia认为，这种叫法略优于CIEM，但“身份管理”本身含义迥异，非常模糊，过于夸大。

Omdia在CIEM或CIG出现之前就发明了CPM（云权限管理）一词，由于其它替代名称存在缺陷，就一直沿用了这个术语。

关键标准

如上所述，这份基本报告旨在作为云权限管理全面市场雷达的预览，我们将在其中介绍这一领域的主要参与者，并进行对比。

对比会比较粗略，与Omdia为比较成熟的长期细分市场提供的更详细的比较不同，我们采用了不同的报告格式，题为《Omdia Universe》。市场雷达通常针对处于发展早期阶段的行业，旨在提供一些关于领先者以及其提供技术的领域的初步信息。

因此，为了即将推出的云权限管理市场雷达，我们计划在以下方面，为分析过的供应商评分：

发现

在这方面，我们考虑了平台可以找到的各个身份、人类或非人类、本地和联邦、所有资源，以及所有帐户活动的程度。

可见性和可视化

这项标准关注产品是否提供图形视图、将身份映射到资源、安全团队用户是否可以通过自然查询语言来查询权限，以及是否有跟踪权限使用情况、用户行为等的仪表板。将根据可视化的清晰性、全面性，以及用户在不同观点之间切换的方便性评分。

补救措施

这项标准根据产品的修复能力来判断产品；也就是说，是否有任何补救建议优先级，以及该平台是否允许用户自动化该过程。

监视变更并发出警报

初步调整工作后，云权限管理平台还应持续监控客户的权限，以检测更改设置引发的任何进一步蔓生迹象，对此类风险发出警报，并再次以JSON代码的形式提供补救建议。这项标准对供应商在该平台上开发这项功能水平进行评分。

同行和最佳实践相关标准

企业经常希望了解自己与同行表现的对比情况，这项愿望延伸到安全计划绩效方面。因此，在报告中，我们对供应商提供此类基准测试的能力评分，并向客户展示他们在行业最佳实践方面的进展情况。

超越CPM本身的功能

这项标准将从两个角度，对供应商评分：第一，他们与其它安全工具（如身份管理和行政管理（IGA）、特权访问管理（PAM）和云安全态势管理（CSPM）的现有集成的广度；第二，供应商在相邻的安全领域开发自身技术的计划。

结论

云权限管理的未来

正如上表最后一点所强调的，Omdia认为云权限管理由专门致力于开展进一步开发的供应商推向市场，不会在很长时间内保持独立功能。云权限管理可以作为比较广泛的安全功能组合的一部分，无论是专门针对云端（CWPP、CSPM等），还是跨云端和内部部署基础设施的混合环境。

云权限管理与IGA和PAM等成熟技术之间存在明显的协同效应。前者试图通过正确设置身份，管理组织内部的访问权限，并保证在有人离开时将其删除，而后者则侧重于访问企业内部敏感或保密资产的权限，旨在尽可能少地施加特权。因此，这些类别中的领先供应商（IGA中的SailPoint，以及PAM中的CyberArk）推出了自己的云权限管理功能也就不足为奇了。

同样，云权限管理和云安全态势管理之间也有相似之处，因为它们都属于主动技术，不需要等到漏洞或攻击发生后再采取行动。因此，类似地，在即将发布的市场雷达报告中（例如，C3M从云安全态势管理开始，扩展成为了云权限管理；去年，Zscaler等其它公司怀着增强现有云安全态势管理技术的明确目的，收购了云权限管理供应商Trustdome），Omdia发现了多家这样的供应商。